【名探偵ハギーのパソコン事件簿】ペイぺイ事件から何を学ぶ?

PayPay(ペイペイ)とは

昨年の12月まで、殆どの人が聞いたことのない言葉・・・それがPayPay(ペイペイ)です。一見中国のキャッシュレスシステムの1つと思った方が、多かったのではないでしょうか?しかしソフトバンク株式会社とヤフー株式会社とで昨年2018年6月15日に設立したばかりの立派な日本の会社なのです。
それが大きな注目を浴びることになったのがこのシステムを利用して買い物をされると、金額の20%をポイント還元、つまり利用者からするとなんでも2割引で購入出来るということ(上限は5万円)さらに抽選で40人に1人は全額(上限10万円)会社で還元するというものだったのです。
大きな反響があり、結局100億円キャンペーンは12月4日にはじまり12月13日であっという間に終了となったものです。

発生した事件

これ自体は、事件性がなかったのですが、その際に本人確認の脆弱性が問題となりました。
なかでもクレジットカードでの支払い時に「コード」の数字3桁の入を求められるのですが、なんとその認証の回数に制限がなかったのです。
数字3桁、つまりはすべてのパターンは1,000種類しかありませんので「総攻撃」でランダムに入力しても平均で500回の入力を行えば合致してしまうという「なんておバカなシステム」だったのです。学会での討論においても私は「この会社のセキュリティ担当は全員クビにしろ」という過激な発言をしてしまいました。(反省しています)
クレジットカードの情報は調べるまでもなく年間数千万件以上もの漏洩が認知されており、
個人のカード管理の甘さやお店でのスキミング、脆弱なサイトからの攻撃による漏洩、その他、、フィッシング詐欺など様々な漏洩パターンがあります。使用者個人の責任もありますが、大部分は「交通事故」とも呼べる不幸な漏洩によるものです。ただし、これらの漏洩ではまず「セキュリティコード」は含まれておりませんので、これが壁になっていたのです。(偽サイトに誘導され、そこでセキュリティコードも入力してしまった場合は別ですが)
今回その最も大きな壁が無くなったに等しい事案となったのです。ネットに漏洩されたクレジットカード情報とその関連情報があればあとは、500回チャレンジすることで、本人に成りすまして買い物ができる。(通常はその高額品はすぐに転売され現金になる)
こういう仕組みは誰が作ったのか?もう少しセキュリティなどの知識があれば・・・と思うと残念でなりません。しかもこのペイペイを商店街全体で応援してくれたところに殆どその「還元」がなかったという残念な報告も届いておりますが、これもちょっと考えると
当たり前で、日常の商品や食品、つまりはお豆腐、大根、ケーキなどの購入より圧倒的に
高額品の大手電気店でのお買い物の方が有利なのは明らかですので1つ100円前後の品物が多い商店街にはあまりペイペイを使う機会がなかったのではないでしょうか?

私はペイペイを使っていないから大丈夫?

よって他人に成りすましをして詐欺を行う人も多く、ネットには多くの被害報告がアップされました。でも「私はペイペイを使っていないから大丈夫」というおかしい意見もアップされておりました。これは大きな間違いです。なぜなら詐欺者がペイペイを使えば詐欺は成立します。重要なことは、あなたのクレジットカード情報(セキュリティコードは無くてもOK)が様々な事件や漏洩などで悪意のある人に伝わっているか、いないか・・・この状況次第だということです。
よって、メールによる購入情報や月1回の支払い明細書などの内容を良くみて、利用した記憶のない売買があるかどうかをきちんとチェックすることにあります。今ではネットで明細書送付前の内容が見られる場合も多いので、まだ確認されていない方は念の為ご確認されることを強くお勧め致します。

PayPayキャンペーン第二弾

そして2月12日よりなんと第二弾を行うという。同じ100億円キャンペーンで・・・
私達にとっては良い情報なのですが、前回のようなことにはならないのでしょうか?
ネットで見る限り、セキュリティコードの試行回数制限も今回は設定され、個人認証についても強化されているようでまずは安心です。最も良い事実は今回は上限が1回1,000円ですので日常品での利用が前回に比べると促進される可能性が高いということで商店街の方々も喜んでいらっしゃるようです。1回あたりの上限を低くすることで、単価が低いものにもその恩恵を受けられることにあるのです。
更に裏技としては1,000円の還元についてはそのまま、すぐに活用できるということです。
つまりは5,000円の品物を購入して1,000円の還元を受け、その1,000円で品物を購入したとするなら更にすぐにその2割200円の還元を受けられ、さらにすぐに200円の品物を購入するならその2割の40円の還元を受けられる・・・だからどうなの?と思われる方もいらっしゃるかも知れませんがあくまで論理はそうだということを知っているのは面白いと思います。
ネットの買い物はセキュリティが強いサイト(注1)で、カード情報入力は十分に注意し、購入後にはカード会社の明細をこまめにチェックすべきだと思います。

(注1):セキュリティが強いサイトとは

  • 世間で認められている大手サイト(アマゾンやヤフーなど)
  • 運営会社名、所在地、連絡先、代表者などが正確に記載しているサイト
  • 入力時にはSSL対応サイトになっているか、URLがhttps://で始まっているなどのセキュリティ強化策が施されているサイト

詳細はトレンドマイクロ社の「通販サイトを安全に利用するための対策8選」などを参照してください
https://www.is702.jp/special/3287/

特定非営利活動法人 IT整備士協会